SI, contrôle interne et Audit B QUINIO Master M2 CG - CCA 2010 / 2011

Plan du cours Définitions Le contrôle Interne Audit Informatique Les outils de l’auditeur

Contrôle interne, audit, conseil (1) Cadre de référence de l’AMF (Autorité des Marchés Financiers) Assurer la conformité aux lois et règlements Appliquer les instructions et les orientations de la DG Maintenir le bon fonctionnement des processus internes Garantir la fiabilité des informations financières

Contrôle interne, audit, conseil (2) Cadre du COSO "Le contrôle interne est un processus mis en œuvre par l'organe de direction (c'est-à-dire le Conseil d'Administration), les dirigeants et le personnel d'une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants : réalisation et optimisation des opérations, fiabilité des informations financières, respect des lois et réglementations en vigueur."

Contrôle interne, audit, conseil (3) Audit : processus structuré et documenté pour vérifier qu’un système et conforme à un référentiel donné Audit Comptable: « Comptable » si ce n’est pas précisé Certification des comptes de l’entreprise Un prestataire qui audit ne peut pas faire du conseil pour le même client Audit informatique : Evaluer l’efficacité de l’exploitation, projet, …

Contrôle interne, audit, conseil (4) Analyse d’un domaine de l’entreprise (organisation, SI, stratégie) Préconisation pour améliorer la performance Éventuellement, mise en œuvre des conseils Exemple de Deloitte (cabinet d’audit) : « Dans le cadre de la Loi de Sécurité Financière votée en 2003, la société s'est séparée de sa branche consulting, devenue Ineum Consulting - avec laquelle elle n'a plus aucun lien désormais » (source Wikipedia)

Le contrôle Interne 5 composantes : une organisation, s’appuyant sur des SI une diffusion efficace de l’information pertinente et fiable, un dispositif d’identification, de suivi et de gestion des risques, des activités de contrôle proportionnées aux enjeux, une surveillance permanente du dispositif de contrôle interne

Le contrôle Interne & Processus (1) Procédures / processus Applications/ BDD Nouveaux risques

Le contrôle Interne & Processus (2) Le CI vise à contrôler les processus Les processus sont réalisés, en partie, par les applications informatiques Le CI doit donc contrôler : Les applications informatiques Les bases de données L’utilisation des l’informatique ajoute de nouveaux risques et entraîne de nouveaux contrôle

Les types de contrôle : traitement (1) Contrôle manuel Contrôle automatisé ou « embarqué » dans les applications informatiques Contrôle mixte : manuel à partir d’états fournis par le SI

Les types de contrôle : traitement (2) Applications Informatique Contrôles automatisés pertinents, bien implantés Les versions validées des applications sont en production Les contrôles ne peuvent être contournés

Les types de contrôle : données (1) La traçabilité et la fiabilité des informations produites sont deux éléments clés de la transparence financière (SOX & LSF) Exige de maîtriser 4 niveaux : Identifier les flux de données, Contrôler ces données, Obtenir une cartographie des bases de données, Vérifier l’existence de chemins de révision.

Les types de contrôle : données (2) Identifier les flux de données : A partir de l’architecture applicative Analyse des flux Intra et Inter BDD Contrôler les données : Contrôle à la saisie par programme Contrôle pendant les traitements Contrôle type « inventaire » (doublons, mise à jours, cohérence entre les BDD

Les types de contrôle : données (3) Obtenir une cartographie des bases de données : A partir du schéma physique des données C’est un SCHEMA qui permet de contrôler : la localisation des données : serveur où les données sont stockées, le volume de la base le type de sauvegarde des bases et la périodicité Duplication des données Journalisation des mises à jour

Les types de contrôle : données (4) Vérifier l’existence de chemins de révision : Pouvoir retrouver une information à partir d’une autre Exemple (AFAI) : « remonter d'un compte du bilan au détail des comptes puis aux écritures et, le cas échéant, aux pièces justificatives. » Le chemin doit être documenté et des outils logiciels doivent permettre de le suivre

Démarche globale de CI Cartographie globale des processus Modélisation des processus Analyse des processus : Contrôles Documentation Amélioration

1 cartographie globale (exemple AFAI)

2 Modélisation processus (exemple AFAI)

3 analyse du processus (1) Mise en place des contrôles de traitement : Accepter que les commandes complètes et validées par les personnes habilitées, Vérifier que les commandes et les annulations de commandes sont enregistrées correctement Rejeter les commandes de tout client en défaut de paiement, Traiter les commandes dans les limites de crédit autorisées.

3 analyse du processus (2) Mettre en œuvre chaque contrôle Manuel Embarqué Mixte Avant Pendant Après

3 analyse du processus (3) Mise en place des contrôles de données liés au processus Flux Contrôle des données Utilisation de la cartographie Utilisation des chemins de révision

Audit informatique (1) Recouvre 3 domaines : La stratégie informatique ou la pertinence du SI par rapport aux objectifs business de l’organisation Val IT La fonction informatiques ou la qualité des processus DE LA fonction SI COBIT & ITIL Les processus informatisés de l’entreprise et la sécurité du fonctionnement Très proche du contrôle interne

Audit informatique – AFAI (2)

Outils de l’auditeur : Exemple Revisauto http://www.revisaudit.fr/

Outils de l’auditeur : Exemple Revisauto Dossier permanent : Pour chaque client, il contient toutes les informations générales et spécifiques du client et permet de créer et consulter les dossiers annuels. Il permet aussi de consulter l'historique des données de vos clients et intègre un générateur de documents Word ® et Excel ® : Rapports, courriers, Tableaux de bord...

Outils de l’auditeur : Exemple Revisauto Dossier organisation ou contrôle interne: Permet d'apprécier l'organisation interne du client au travers de 4 outils pour chaque cycle : descriptif de cycle, questionnaires complets par assertion, répartition des tâches, tests de conformité. Les principales fonctions de l'entité contrôlée sont ainsi passées en revue

Outils de l’auditeur : Exemple Revisauto Dossier de contrôle : l'approche par les risques, la planification de la mission, la régularité comptable et juridique, la revue du dossier, les préoccupations du client, les contrôles de l'inventaire, de l'annexe et du rapport de gestion.

Outils de l’auditeur : Exemple Revisauto Dossier Général : Le dossier général annuel permet de visualiser la balance N / N-1 importée du système de votre client ou de votre logiciel de comptabilité. Il stocke, en plus de la balance : le journal d'OD, le bilan, le résultat, les Soldes Intermédiaires de Gestion, les principaux ratios,

Outils de l’auditeur : Exemple Revisauto Dossier de révision : Les 120 feuilles de révision pré-formatées, en liaison avec la balance et le journal d'OD, vous permettent de réaliser une révision dynamique et exhaustive en bénéficiant d'un réel gain de temps. Avec une révision des comptes par cycle, une extraction automatique des comptes, racines de comptes et écritures comptables

Outils de l’auditeur : les autres Interrogations des BDD : SQL Business Object … Analyse des données : Datamining / datawarehouse OLAP Et toujours Excel !

Bibliographie et références Articles – dossiers - ouvrages Contrôle interne et système d'information, AFAI, 2008 Management des systèmes d'information DSCG 5, Daniel Le Rouzic, Bertrand Lacoste, 2008 http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary_french.pdf